PDF传播病毒续：Adobe回应错误使用

　　今年3月，安全研究人员Didier Stevens展示如何利用PDF的一些漏洞在PDF文件中嵌入可执行代码实现病毒植入(eNet安全相当报道见：利用PDF文件，不需漏洞即可发动攻击，点击标题即可查看)，近日安全厂商NitroSecurity产品经理Jeremy Conway就创造出另一概念性验证程序，并表示他可在PDF文件中嵌入任何他想要执行的文件，亦可用来感染电脑内的其他PDF文件，形成类似蠕虫式的感染行为。

　　值得注意的是，Stevens及Conway所利用的并不是PDF或PDF reader的漏洞，也不是传统认为的病毒或蠕虫，而是PDF所允许嵌入的文件格式。

　　Conway所示范的概念性验证程序是在使用者开启PDF文件后自动启动浏览器，并将其连接到Conway的网站。他强调该程序很容易就被修改，而且有能力感染电脑中每个PDF文件。

　　Conway说明，黑客得以打造一个恶意的PDF文件，内含锁定PDF应用程序安全漏洞的攻击程序，假设黑客在文件中嵌入了感染功能，那麽每一个存在使用者电脑中的PDF都会受到影响，使用者可能不经意地传递这些原本受到信任的文件而形成蠕虫式的感染途径。

　　在后来发表的文章里Coneay表示，基本上这并不符合传统的病毒或蠕虫定义，而是PDF两项功能的错误使用：/Launch及更新程序。

　　安全厂商F-Secure负责人Mikko Hypponen表示，PDF文件格式的规格显示PDF允许使用者嵌入各式内容，包括影片、声音、3D物件，亦可启动应用程序及JavaScript等，但他质疑相关功能存在的必要性。

　　对于Didier Stevens所提出的问题，Adobe回应指出，这说明了某些功能若使用不当会带来怎样的潜在风险。Adobe正在研究这项功能可以有怎样的最佳做法，并希望能够在定期更新里修复该问题。

　　Conway建议使用者限制PDF阅读工具的功能，让相关工具不支持PDF所嵌入的额外文件格式，或是尝试使用“云”阅读工具。Adobe则建议，使用者若有安全疑虑，可到个人设定里更改Trust Manager属性躲避风险。